Таблица 2 - Уровни полноты безопасности: планируемые величины отказов для функции безопасности, работающей в режиме низкой интенсивности запросов

Уровень полноты безопасности

Режим работы с низкой интенсивностью запросов (средняя вероятность отказа выполнения функции по запросу)

4

3

2

1

> 10-5 - < 10-4

> 10-4 - < 10-3

> 10-3 - < 10-2

> 10-2 - <10-1

Примечание - Подробности интерпретации данной таблицы см. в примечаниях 3-9 ниже.

Таблица 3 - Уровни полноты безопасности: планируемые величины отказов для функции безопасности, работающей в режиме высокой интенсивности запросов или в режиме непрерывных запросов

Уровень полноты безопасности

Режим работы с высокой интенсивностью запросов или режим непрерывных запросов (вероятность опасных отказов в час)

4

3

2

1

> 10-9 - < 10-8

> 10-8 - < 10-7

> 10-7 - < 10-6

> 10-6 - < 10-5

Примечание - Подробности интерпретации данной таблицы см. в примечаниях 3-9 ниже.

3 Определения терминов режим работы с низкой интенсивностью запросов и режим работы с высокой интенсивностью запросов или режим с непрерывными запросами см. в МЭК 61508-4, пункт 3.5.12.

4 Вероятность опасных отказов в час - параметр, используемый в таблице 3 для режима работы с высокой интенсивностью отказов или для работы в режиме с непрерывными запросами, иногда фигурирует под названием частоты опасных отказов или интенсивности опасных отказов с единицей измерения - опасные отказы в час.

5 Для Е/Е/РЕ систем, связанных с безопасностью, действующих в режиме высокой интенсивности запросов или в режиме непрерывных запросов, когда работа длится определенный промежуток времени, в течение которого ремонт не может быть выполнен, требуемый уровень полноты безопасности для функции безопасности может быть получен следующим образом. Определяется требуемая вероятность отказа функции безопасности в расчете на период работы. Полученное значение делится на продолжительность периода, в результате получается требуемая вероятность отказов в расчете на час. Далее с использованием данных таблицы 3 определятся необходимый уровень полноты безопасности.

6 Настоящий стандарт устанавливает нижнюю границу планируемых величин отказов в режиме опасных отказов, которые могут объявляться для случая опасных отказов. Они определяются как нижний предел уровня полноты безопасности 4 (т. е. средняя вероятность отказов, равная 10-5 при выполнении назначенной функции по запросу, или как вероятность опасного отказа, равная 10-9 в час). Может оказаться возможным разработать системы, связанные с безопасностью, с более низкими значениями планируемых величин отказов для несложных систем, однако считается, что цифры, приведенные в таблице, представляют предел, который может быть достигнут в настоящее время для относительно сложных систем (например, для программируемых электронных систем, связанных с безопасностью).

7 Планируемые величины отказов, которые могут быть заявлены в случае использования двух и более Е/Е/РЕ систем, связанных с безопасностью, могут оказаться лучше тех, которые приведены в таблицах 2 и 3, при условии, что достигнуты адекватные уровни независимости.

8 Важно отметить, что величины отказов для уровней полноты безопасности 1, 2, 3 и 4 являются планируемыми величинами. Принято считать, что только по отношению к полноте безопасности аппаратных средств [МЭК 61508-4 (пункт 3.5.5)] возможно дать количественную оценку и использовать надежные методы предсказания при оценке того, будут ли достигнуты планируемые величины отказов. При определении того, будут ли достаточны меры предосторожности для достижения планируемых величин отказов по отношению к полноте безопасности, связанной с систематическими отказами [МЭК 61508-4 (пункт 3.5.4)], должны быть использованы качественные методы и заключения.

9 Требования к полноте безопасности для каждой функции безопасности должны указывать, что представляют собой параметры, характеризующие планируемые величины отказов:

- среднюю вероятность не выполнения назначенной функции по запросу (при работе в режиме низкой интенсивности запросов) или

- вероятность возникновения опасных отказов в час (для режима с высокой интенсивностью запросов или режима с непрерывными запросами).

7.6.2.10 Для Е/Е/РЕ системы, связанной с безопасностью, которая реализуют функции безопасности с различными уровнями полноты безопасности, те компоненты аппаратных средств и программного обеспечения, связанного с безопасностью, для которых не установлена достаточная степень независимости, должны считаться принадлежащими к функциям безопасности с наивысшим уровнем полноты безопасности, если только не будет установлена достаточная независимость реализации этих конкретных функций.

Следовательно, ко всем этим компонентам должны применяться требования, относящиеся к соответствующему наивысшему уровню полноты безопасности.

Примечание - См. также МЭК 61508-2 (пункт 7.4.2.4) и МЭК 61508-3 (пункт 7.4.2.8).

7.6.2.11 Архитектура, представленная единственной Е/Е/РЕ системой, связанной с безопасностью, имеющей уровень полноты безопасности 4, допустима только при условии выполнения требований перечисления а) либо одновременного выполнения требований перечислений b) и с):

a) была явно продемонстрирована с использованием комбинации соответствующих аналитических методов и тестирования величина отказов планируемой полноты безопасности;

b) был получен обширный опыт эксплуатации компонентов, используемых как часть Е/Е/РЕ системы, связанной с безопасностью; этот опыт должен быть получен в схожей окружающей среде и относиться к системам, имеющим, как минимум, сопоставимый уровень сложности;

c) имеется достаточный объем данных по отказам аппаратных средств, полученный для элементов, используемых в качестве компонентов Е/Е/РЕ системы, связанной с безопасностью, дающий достаточную уверенность в величине планируемых отказов для заявляемого уровня полноты безопасности аппаратуры. Данные должны соответствовать предполагаемым окружающей среде, применению и уровню сложности.

7.6.2.12 Ни одна одиночная Е/Е/РЕ система, связанная с безопасностью, не должна быть размещена по величине отказов полноты безопасности ниже, чем указано в таблицах 2 и 3. То есть, для систем, связанных с безопасностью, работающих:

- в режиме низкой интенсивности запросов в качестве нижней границы принимается средняя вероятность отказа, равная 10-5, для выполнения назначенной функции по запросу;

- в режиме высокой интенсивности запросов или в режиме непрерывных запросов в качестве нижней границы принимается вероятность опасных отказов, равная 10-9 в час.

7.6.2.13 Информация и результаты распределения требований к безопасности, полученные в подразделах 7.6.2.1 - 7.6.2.12, вместе с любыми сделанными допущениями и обоснованиями должны быть документированы.

Примечание - Для каждой Е/Е/РЕ системы, связанной с безопасностью, должен быть достаточный объем информации по функциям безопасности и связанными с ними уровнями полноты безопасности. Эта информация образует основу требований к безопасности для Е/Е/РЕ систем, связанных с безопасностью, определяемых в МЭК 61508-2.

7.7 Полное планирование эксплуатации и сопровождения

Примечания

1 Данная стадия представлена прямоугольником 6 на рисунке 2.

2 Пример модели действий при эксплуатации и сопровождении показан на рисунке 7.

3 Пример модели управления эксплуатацией и сопровождением показан на рисунке 8.

7.7.1 Цель

Целью требований настоящего подраздела является разработка плана эксплуатации и сопровождения Е/Е/РЕ систем, связанных с безопасностью, гарантирующего, что требуемая функциональная безопасность будет поддерживаться в процессе эксплуатации и сопровождения.

7.7.2 Требования

7.7.2.1 Должен быть подготовлен план, в котором необходимо указать следующее:

a) типовые действия, необходимые для поддержания требуемой функциональной безопасности Е/Е/РЕ систем, связанных с безопасностью;

b) действия и ограничения, которые необходимы (например, при запуске, нормальной работе, стандартном тестировании, предсказуемых нарушениях, отказах и выключении) для предотвращения перехода в неустойчивое состояние, уменьшения потребности в Е/Е/РЕ системе, связанной с безопасностью, либо ослабления последствий опасных событий;

Примечание - К Е/Е/РЕ системам, связанным с безопасностью, относятся следующие ограничения:

- ограничения на работу EUC при сбое или отказе Е/Е/РЕ систем, связанных с безопасностью;

- ограничения на работу EUC в период обслуживания Е/Е/РЕ систем, связанных с безопасностью;

- когда могут быть отменены ограничения на работу EUC;

- процедуры возврата к нормальной работе;

- процедуры подтверждения того, что достигнут нормальный режим работы;

- обстоятельства, при которых функции Е/Е/РЕ систем, связанных с безопасностью, могут быть пропущены при пуске, во время выполнения специальных операций или при тестировании;

- процедуры, которым необходимо следовать до, во время и после отключения Е/Е/РЕ систем, связанных с безопасностью, включая разрешение на рабочие процедуры и уровни полномочий.

c) документацию, которую необходимо вести, и в которой отображаются результаты аудита функциональной безопасности и тестирования;

d) документацию, которая необходима для сохранения информации об опасных происшествиях и всех происшествиях, которые потенциально приводят к опасному событию;

e) совокупность действий по обслуживанию (в отличие от действий по модификации);

f) действия, которые должны быть предприняты в случае возникновения опасных событий;

g) содержание документации, в которой в хронологическом порядке регистрируются действия в период эксплуатации и обслуживания (см. 7.15).

Примечания

1 Большинство Е/Е/РЕ систем, связанных с безопасностью, имеет некоторые виды отказов, которые могут быть обнаружены только при тестировании во время стандартного обслуживания. Если тестирование не будет проводиться с достаточной частотой, требуемый уровень полноты безопасности Е/Е/РЕ систем, связанных с безопасностью, не будет достигнут. Когда тестирование выполняется в рабочем режиме, может потребоваться временное отключение Е/Е/РЕ системы, связанной с безопасностью. Это должно быть обосновано только в случае, если вероятность запросов, случающихся в это время, мала. Если в этом нет уверенности, может оказаться необходимым установить дополнительные сенсоры и исполнительные устройства для сохранения требуемой функциональной безопасности во время тестирования.

2 Данный подраздел применяется к поставщику программного обеспечения, который должен сопроводить программный продукт информацией и процедурами, которые дают возможность пользователю обеспечить необходимую функциональную безопасность во время эксплуатации и обслуживания системы, связанной с безопасностью. Подраздел включает подготовительные процедуры для любой модификации программного обеспечения, которые могут быть результатом потребностей, возникших в период эксплуатации или обслуживания [см. также МЭК 61508-3 (пункт 7.6)]. Реализация этих процедур - по МЭК 61508-3 (пункты 7.8 и 7.15). Процедуры подготовки к будущим изменениям программного обеспечения, которые являются результатом потребностей в изменении систем, связанных с безопасностью, рассматриваются в МЭК 61508-3 (пункты 7.6 и 7.16). Реализация этих процедур - по МЭК 61508-2 (пункты 7.8 и 7.16).

3 Следует учитывать процедуры по эксплуатации и обслуживанию, разработанные для того, чтобы выполнить требования МЭК 61508-2 и МЭК 61508-3.

7.7.2.2 Стандартные действия по обслуживанию, которые выполняются для обнаружения невыявленных неисправностей, должны быть выполнены на основе систематического анализа.

Примечание - Если невыявленные неисправности не обнаружены, они могут:

- в случае применения Е/Е/РЕ систем, связанных с безопасностью, систем, связанных с безопасностью, основанных на других технологиях, или внешних средств уменьшения риска привести к отказам при работе по запросу;

- в случае применения систем, не связанных с безопасностью, привести к появлению (ложных) запросов к Е/Е/РЕ системам, связанным с безопасностью, системам, связанным с безопасностью, основанным на других технологиях, или внешним средствам уменьшения риска.

7.7.2.3 План обслуживания Е/Е/РЕ систем, связанных с безопасностью, должен быть согласован с теми, кто несет ответственность за будущую эксплуатацию и обслуживание Е/Е/РЕ систем, связанных с безопасностью, систем, связанных с безопасностью, основанных на других технологиях, внешних средств уменьшения риска, а также систем, не связанных с безопасностью, которые могут приводить к появлению запросов к системам, связанным с безопасностью.

7.8 Планирование полного подтверждения соответствия безопасности

Примечание - Эта стадия представлена на рисунке 2 прямоугольником 7.

7.8.1 Цель

Целью требований настоящего подраздела является разработка плана, облегчающего полное подтверждение соответствия безопасности Е/Е/РЕ систем, связанных с безопасностью.

7.8.2 Требования

7.8.2.1 Должен быть разработан план, включающий в себя следующее:

a) подробное описание того, когда должно происходить подтверждение соответствия;

b) подробности о лицах, которые должны осуществлять подтверждение соответствия;

c) спецификацию существенных режимов работы EUC с указанием их отношения к Е/Е/РЕ системе, связанной с безопасностью, включая, где это необходимо:

- подготовку к использованию, включая установку и регулировку;

- запуск;

- обучение;